浅谈虚拟化技术下的云安全

  近年来,云计算是目前非常热门的一个研究领域,其实它并不是一种全新的技术,而是许多技术的融合体,包括分布式计算、动态和拓展等各种各样的技术算法,而虚拟化是云计算里最重要的一个技术。

  云安全问题是云计算技术进一步发展并得到广泛应用的一个核心且富有挑战的重要问题,通过网状的大量客户端对网络中软件行为的异常监测来获取互联网中木马、恶意程序的最新信息,推送到云服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。它采用的是云计算处理机制,能够计算出Internet上的网络威胁位置,在网络威胁到达网络前进行阻挡,进行实时探测和及时保护。

  虚拟化技术是在软、硬件之间引入虚拟层,为应用提供独立的运行环境,屏蔽硬件平台的动态性、分布性、差异性等,支持硬件资源的共享与复用,并为每个用户提供相互独立、隔离的计算机环境,同时方便整个系统的软、硬件资源的高效、动态管理与维护。

  而将虚拟化技术运用到云安全之中,这种方法在一定程度上降低了“云安全”企业的硬件成本和管理成本,从某种程度上提高了“云安全”技术的安全性。

  目前,一些运营商、有实力的企业单位以及大型政府信息中心,经过几年的建设已经初步建成了基础设施即服务(IaaS)云,很多单位已经逐步将非核心的业务移植到云平台上,而核心业务的转移因担心数据中心和云平台遭到数据泄漏或导致业务中断而开展缓慢。这其中由于虚拟化技术的引入,打破了传统的网络边界的划分方式,使得传统的安全技术手段无法做到有效的安全防护。再之,如若虚拟机管理程序被劫持,安全漏洞会导致平台受到威胁,更严重的是,安装在基于主机操作系统分区上或者虚拟机管理程序上的传统安全工具未能及时识别威胁,如果威胁发生在那些大规模的虚拟化平台上,危险所产生的后果是可想而知的。而云或基于基础设施的服务,或基于软件的服务等等,大多都是虚拟化来实现的,很多时候是通过虚拟化来形成云。

  Gartner评估分析数据也显示,在数据中心虚拟化项目中最常见的安全风险有:

  1、 未在虚拟化项目的初期引入信息安全措施;

  2、 虚拟化的风险会导致其所有上层系统的风险;

  3、 虚拟化层的数据泄漏可以导致所有托管应用的数据泄漏;

  4、 对管理程序/VMM以及管理工具的管理性访问缺乏充分的控制;

  5、 网络和安全控制的职责分享可能会存在潜在的损失。

  因此对于采用基于虚拟化的云平台架构搭建IT环境的政府及企业用户来说,远端数据的安全性和保密性、访问权限的风险性、隐私和可靠性方面的安全隐患都是用户使用云计算所存在的考量问题,用户需要一套完整的安全方案可以为虚拟和物理环境都提供持续的保护,并满足其合规性检查的需要。且随着云计算市场的不断壮大,更多的软硬件厂商投入了更大的研究力度,一个健康、绿色的云计算体系日臻成熟。

  基于虚拟化技术的“云安全”的策略和方法:

  1、虚拟化技术系统架构的实现

  蓝盾的BDCSS(CloudSec-Station)云计算安全平台的网络连接建立在分布式虚拟交换机技术上,支持开源技术Openvswitch。在Xen虚拟化平台中,传统上其内部网络主要由虚拟网卡与虚拟桥接器组成,提供虚拟机桥接实体网络及虚拟机之间彼此通信的机制,而虚拟交换机技术的引入可以带给Hypervisor更多弹性化的功能来管控整体的虚拟网络结构。

  2、系统性的安全解决方案

  通过BDCSS为基于虚拟化的云数据中心提供系统性的安全解决方案,包括防火墙、入侵检测、审计,以及漏洞扫描、安管平台等,以确保物理、虚拟和云环境中服务器的应用程序和数据的安全。BDCSS具有先进的特性,基于蓝盾智慧安全框架“动立方”,可以为云和虚拟化环境提供主动防御、自动安全保护,以及多层联动响应,用低成本、高回报的方式,将传统数据中心的安全策略扩展到云计算平台上。

  3.对服务器采取虚拟化的办法,提高资源利用率

  服务器整合即将原来独立的服务器应用通过VMM(virtual machine manager)合并到同一个物理服务器上。服务器采取虚拟化技术后,服务进程能在多个物理机之间透明实时迁移,能更加充分地利用服务器中的闲置资源,通过动态资源配置提升业务的灵活适应能力,提高服务器的资源利用率,提升服务器的计算能力;能够通过散热、降低空间以及电力消耗等途径压缩成本降低服务器的管理费用,简化服务器的操作和维护工作;能够对系统及时更新并且不中断用户工作,以及保护业务质量和安全。

  4.虚拟机的镜像管理和VS漏洞扫描器解除一定的安全隐患

  由于虚拟化软件本身具有简单的备份还原功能,能在系统非正常使用的情况下,通过简单的操作迅速把系统恢复到任意以前正常的状态。但由于以前备份的状态有可能存在着安全漏洞,在下一次还原时,管理员可能由于疏忽而忘记重新打补丁或系统升级,从而受到恶意软件的威胁。

  如果我们在部署虚拟化或者进行虚拟化移植之前、期间或者之后充分考虑到这些虚拟化技术因素,利用漏洞扫描虚拟器件对主机内部外部的客户VM漏洞扫描、Web漏洞扫描、弱密码扫描等脆弱性检测,就有可能成功地实施虚拟基础设施迁移,提前进行安全管理规划,从而确保虚拟化管理的安全性。

  5.重新规范管理员的权限,防止虚拟化文件被窃取

  存放在远程云中心中的数据,用户不能通过物理控制、逻辑控制等方式对数据的访问进行控制,这就可能存在这样的风险,云计算平台提供商的超级用户权限用户有可能对企业的数据进行查看与修改。而且当很多虚拟机运行在物理服务器上时,这些虚拟服务器管理员往往也接手了虚拟化网络环境的管理工作,这就意味着管理员的权限增加了,需要对管理员的权限重新规划并明确其职责范围。除明确管理员的职责外,利用VM服务控制台和虚拟管理控制台对用户身份进行双因子认证,实现用户访问权限及访问记录管理等安全功能,可大幅降低非法身份的用户访问虚拟化文件。

  6、数据加密、通信加密、防火墙技术,形成虚拟化平台的纵深保护

  如果攻击者能够攻破一个客户虚拟机,在同一个物理主机上运行的其它客户机也可能会被攻破,因为它们共享的是同样的运行环境。因此需要通过动态加密的方式来确保云系统中数据的安全,即对数据本身进行加密存放。同时,通过云平台系统通信传输加密,建立安全的VPN传输通道,并且结合传统防火墙技术对外安全隔离,避免黑客攻击,实现数据加密、保证传输安全私密等,强化了物理服务器和虚拟主机的安全。万一其中一个虚拟化层面或者网络层面出现问题,由于数据是加密存放的,就能够给数据安全提供更多保障。

  总之,云计算产业具有巨大的市场前景,云安全的发展给网络时代互联网的安全提供了更大的可能性,它将是未来市场发展的趋势,我们需要能发挥它的优势而规避其劣势,将虚拟化技术与云安全技术有机结合,实现完全意义上的云安全,只有安全得到保障,才能打破用户顾虑,使云计算得到更快、更深入的发展,让每个用户在享受云计算带来的便利时也成为识别安全威胁的贡献者.

时间: 2024-09-10 12:46:14

浅谈虚拟化技术下的云安全的相关文章

浅谈在openSUSE下ASP.NET 4开发环境配置(1)

浅谈在openSUSE下ASP.NET 4开发环境配置(1)

浅谈云计算技术和虚拟化之间的联系

云计算技术现在已经被很多的厂商.媒体.用户炒的火热了,对于IT行业来说,云计算也在很大程度上改变了用户在数据收集.数据管理以及数据分析等很多方面的使用习惯,可以这么说,云计算技术的诞生以及快速发展已经让"数据"带给我们的工作和生活很大的不同. 我们都知道,当今是数据爆发的时代,也就是我们所说的大数据时代,这就衍生出了一个问题,云计算平台需要一系列的IT技术来帮助和扶持,从而为用户带来更加全面.更加可靠的IT服务,对于这方面,虚拟化技术就是其中一个很好的例子. 虚拟化和云计算让人一头雾水

老网工: 浅谈SDN技术的部署和未来

进入2017年,基于SDN的解决方案再次成为最热门的话题之一, 从运营商.到OTT再到大的企业都已经开始大谈SDN网络规划和部署,甚至WannaCry蠕虫爆发时有人谈到利用SDN的方法抵御.但是由于SDN的特殊性和网络具体环境的复杂性,不同客户SDN的部署实际上千差万别,作为从事网络领域20年的老网工深深感受到SDN与传统网络的巨大变化,在这里和大家分享一下SDN的部署经验和艰辛,抛砖引玉谈谈个人体会. 首先声明一点,今天讨论的SDN不再局限于传统的狭义SDN,传统的狭义SDN(基于Openfl

浅谈云环境下的数据保护策略

 企业核心数据是企业的命脉.通过建立完善的数据保护系统,保障核心数据已经成为当前众多企业的共识.为防止IT系统最重要的资产--数据的丢失,越来越多的企业开始从信息系统的安全性.稳定性和可靠性出发,以数据安全为目标,构建自己的数据保护体系.然而,随着云计算的普及和大数据时代的来临,急速膨胀的数据量使企业在数据保护方面投入的硬件以及人力.时间成本剧增.如何不让数据保护方案成为企业业务走向"巅峰"的拦路虎,是困扰大多数IT管理人员的难题.其中,解决成本难题与降低管理风险便是首要考虑的重点.

浅谈云环境下的数字档案信息安全

云计算的出现宣告了低成本提供超级计算时代的到来,它以超强的计算能力.低成本.高效率等优势将人类社会推进了一个超共享时代,数字档案馆建设也随之进入了质的变革.近两年,各地档案馆纷纷考虑依托现有的硬件网络设备,构建全国性.区域性云计算平台,实现巨量档案信息的统一管理.采用云计算架构的系统平台,能够使大量的档案服务器协同工作,方便地进行档案业务部署和开通,快速发现和恢复系统故障,给档案工作者的日常办公和档案管理工作带来了质的变革. 尽管云计算号称"提供了最可靠.最安全的数据存储方式",然而,

浅谈数据库接口技术

数据|数据库 from www.yesky.com 在前面几个专题中,我们介绍了数据库知识,但当我们想通过数据库真正做点什么,或在设计数据库应用程序的时候,不可避免的碰到如何访问数据库?如何操纵库里的数据等问题?因此在这个专题里向大家介绍数据库接口技术. 目前在市面上最流行的两种数据库接口是ODBC和JDBC.Microsoft推出的ODBC是最早的整合异质数据库的数据库接口,获得极大的成功,现在已成为一种事实上的标准.访问数据库最常用的方法就是通过ODBC.现在我们就来谈谈什么是ODBC. 什

浅谈Ajax技术中的先进性与局限性

先进性: 1.表单驱动的交互 传统的表单提交,在文本框输入内容后,点击按钮,后台处理完毕后,页面刷新,再回头检查是否刷新结果正确.使用Ajax,在点击sunmit按钮后,立刻进行异步处理,并在页面上快速显示了更新后的结果,这里没有整个页面刷新的问题. 2.深层次的树的导航 深层次的级联菜单(树)的遍历是一项非常复杂的任务,使用JavaScript来控制显示逻辑,使用Ajax延迟加载更深层次的数据可以有效的减轻服务器的负担. 3.快速的用户与用户间的交流响应 在众多人参与的交流讨论的场景下,最不爽

浅谈Hybrid技术的设计与实现(转)

前言 随着移动浪潮的兴起,各种APP层出不穷,极速的业务扩展提升了团队对开发效率的要求,这个时候使用IOS&Andriod开发一个APP似乎成本有点过高了,而H5的低成本.高效率.跨平台等特性马上被利用起来形成了一种新的开发模式:Hybrid APP. 作为一种混合开发的模式,Hybrid APP底层依赖于Native提供的容器(UIWebview),上层使用Html&Css&JS做业务开发,底层透明化.上层多多样化,这种场景非常有利于前端介入,非常适合业务快速迭代,于是Hybri

浅谈Windows系统下C语言编程中Glib库的使用_C 语言

在这个C的变成世界里,有许多实用的库,其中最有名的且最通用(跨多个平台的实现包括Windows,要知道很多实用的编程库都不提供Windows的实现)就是GLib这个库,其中就有实现线程的部分. glib库是Linux平台下最常用的C语言函数库,它具有很好的可移植性和实用性. glib是Gtk +库和Gnome的基础.glib可以在多个平台下使用,比如Linux.Unix.Windows等.glib为许多标准的.常用的C语言结构提供了相应的替代物. 如果在程序中要使用到glib库中的函数,则应该包